#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
StealC, инфокрад и загрузчик вредоносных программ, приобрел популярность в 2023 году как вредоносное ПО как услуга. Его последняя версия, v2.2.4, улучшает скрытность и эксфильтрацию данных благодаря новому протоколу C2 на основе JSON и улучшенной доставке полезной нагрузки. Он нацелен на различные приложения для кражи учетных данных, избегая при этом систем с языками, связанными с СНГ, что указывает на его восточноевропейское происхождение.
-----

StealC - это программа для кражи информации и загрузки вредоносных программ, появившаяся в начале 2023 года и популярная среди киберпреступников благодаря низкой стоимости и эффективности. Она работает как программа "Вредоносное ПО как услуга" и продается на подпольных форумах. В начале 2025 года была выпущена версия 2.2.4, улучшающая возможности скрытности и утечки данных. В новой версии используется протокол управления на основе JSON (C2) и улучшенные методы доставки полезной нагрузки. StealC в основном поставляется в виде исполняемого файла Windows, замаскированного под вредоносные приложения. Он использует методы упаковки файлов и обфускации, чтобы избежать обнаружения, и работает в фоновом режиме без цифровых подписей. Вредоносная программа нацелена на отдельных пользователей в различных секторах, извлекая учетные данные из веб-браузеров, VPN и игровых аккаунтов. Это позволяет избежать заражения систем с языками, относящимися к Содружеству Независимых Государств (СНГ). После запуска StealC v2 выполняет процедуры инициализации, проверяет допустимые операционные среды и гарантирует, что запускается только один экземпляр, используя событие mutex. Он генерирует аппаратный идентификатор для уникальной идентификации в C2 communications и устанавливает первоначальные соединения C2 с помощью сообщений JSON в кодировке Base64. Основная функциональность вредоносного ПО включает модуль захвата, предназначенный для различных типов данных, включая веб-браузеры и криптовалютные кошельки, с различными методами расшифровки для разных браузеров. Он оснащен встроенным загрузчиком, позволяющим загружать и выполнять дополнительные вредоносные программы. Организациям рекомендуется повысить безопасность конечных точек, внедрить надежные фильтры электронной почты и отслеживать аномальное поведение и необычную сетевую активность, связанную с StealC. Постоянный мониторинг нерегулярного исходящего трафика может помочь в обнаружении заражений.

#ParsedReport #CompletenessLow
31-05-2025

Tracking AyySSHush: a Newly Discovered ASUS Router Botnet Campaign

https://censys.com/blog/tracking-ayysshush-a-newly-discovered-asus-router-botnet-campaign

Report completeness: Low

Actors/Campaigns:
Vicioustrap

Threats:
Ayysshush
Residential_proxy_technique

Victims:
Asus router owners, Residential isp customers, Telecommunication providers

Industry:
Education, Entertainment, Iot, Telco

Geo:
Hong kong, Asian, Asia-pacific, China, Sweden, Singapore, Taiwan, Apac, Asia

CVEs:
CVE-2023-39780 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55 firmware (3.0.0.4.386.51598)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.004, T1036, T1059.001, T1071.001, T1078.003, T1098.004, T1110.001, T1190, T1587.001

IOCs:
File: 2
Coin: 1
IP: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AyySSHush - это ботнет, нацеленный на маршрутизаторы ASUS, реализующий многоэтапные атаки, которые используют функции встроенного ПО для постоянного доступа через черный ход. При первоначальном доступе используются атаки методом перебора или обхода аутентификации (CVE-2023-39780), которые вводят SSH-ключи для долгосрочного контроля, затрагивая тысячи устройств, в основном в США и Азии.
-----

AyySSHush - это недавно обнаруженный ботнет, нацеленный на маршрутизаторы ASUS, использующий сложную многоэтапную атаку, которая использует надежные функции встроенного ПО для создания постоянного доступа через черный ход, обходя обычные методы обнаружения. Обнаруженная исследователями из GreyNoise в марте 2025 года, эта кампания использует законные возможности системы AiProtection от ASUS для внедрения SSH-бэкдоров, которые работают даже после обновления встроенного ПО, сохраняя контроль над скомпрометированными устройствами.

Первоначальный доступ к жертвам осуществляется с помощью атак методом "грубой силы" на страницу входа в систему маршрутизатора или путем использования более старых уязвимостей для обхода аутентификации. Злоумышленники также используют методы внедрения команд для манипулирования настройками AiProtection маршрутизатора, в частности, используя уязвимость при внедрении аутентифицированных команд (CVE-2023-39780). Используя вредоносные параметры токена обновления Google OAuth, они могут выполнять команды, которые управляют конфигурациями маршрутизатора.

Оперативный метод заключается в создании файла журнала, предназначенного для обеспечения постоянных возможностей при настройке сети. Злоумышленники внедряют свой SSH-ключ в файл authorized_keys маршрутизатора с помощью управления конфигурацией, эффективно обеспечивая удаленный доступ через необычный порт (TCP/53282). Эта скрытая тактика гарантирует, что несанкционированный доступ может сохраняться при обновлении и сбросе настроек, поскольку SSH-ключ, переданный через надежные механизмы, остается неизменным.

По состоянию на 28 мая 2025 года данные GreyNoise и Censys выявили тревожные масштабы ботнета AyySSHush: признаки взлома были обнаружены на 4504 устройствах ASUS. Географический разброс указывает на то, что уязвимые маршрутизаторы сосредоточены в основном в США, Швеции, Тайване, Сингапуре и Гонконге. Целенаправленное использование сетей широкополосного доступа в жилых домах, особенно распространенное среди азиатских и европейских телекоммуникационных провайдеров, предполагает стратегический подход к маскировке вредоносных действий в рамках обычного трафика.

AyySSHush отражает заметную эволюцию хакерской тактики, подчеркивая тенденцию использования встроенного ПО для обеспечения постоянного доступа к оборудованию потребительского класса. Исследователи также связывают это с аналогичными кампаниями, проводимыми группой, называемой ViciousTrap, хотя точное определение действующих лиц остается неоднозначным.

Было замечено, что инфраструктура ботнета претерпевает значительные колебания, демонстрируя быстрые циклы роста и упадка, что свидетельствует о быстром реагировании на внешнюю проверку и возможные оперативные корректировки. Несмотря на то, что в последнее время количество обнаруженных скомпрометированных устройств сократилось, сохранение тысяч потенциально зараженных маршрутизаторов свидетельствует об устойчивости и глубине операций AyySSHush. В целом, эта разработка представляет собой серьезную проблему в области безопасности Интернета вещей, поскольку особое внимание уделяется использованию законных функций встроенного ПО для предотвращения обнаружения и поддержания долгосрочного контроля над скомпрометированными сетями.

#ParsedReport #CompletenessLow
01-06-2025

Behind the Script: Unmasking Phishing Attacks Using Google Apps Script

https://cofense.com/blog/behind-the-script-unmasking-phishing-attacks-using-google-apps-script

Report completeness: Low

Victims:
Legitimate company that provides disability and health equipment, Company employees, Recipients of phishing emails

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1114, T1192, T1556.001, T1566.002

IOCs:
Url: 2
IP: 6

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры используют надежные платформы, такие как Google Apps Script, в фишинговых кампаниях для размещения вредоносного контента, что повышает его аутентичность и позволяет избежать обнаружения. Недавние атаки связаны с отправкой поддельных электронных счетов-фактур, которые перенаправляют пользователей на поддельные страницы входа с захватом учетных данных, что создает значительный риск утечки данных.
-----

Последние разработки в области методов фишинга показывают, что хакеры все чаще используют надежные платформы для повышения надежности своих атак. Недавняя фишинговая кампания, выявленная Центром защиты от фишинга Cofense, иллюстрирует эту тенденцию, используя скрипт Google Apps для размещения вредоносного контента в доверенной среде Google. В рамках этой конкретной кампании фишинговое электронное письмо выдается за счет-фактуру, заставляя получателей перейти по ссылке, которая перенаправляет их на поддельную веб-страницу, размещенную на поддомене Google (script.google.com). Такая стратегия не только усиливает иллюзию подлинности, но и затрудняет обнаружение злоумышленных намерений средствами безопасности.

Электронное письмо в рамках этой кампании, имитирующее законные счета-фактуры от компании, предоставляющей оборудование для инвалидов и медицинское оборудование, демонстрирует, как хакеры могут использовать настоящие деловые коммуникации. При проведении атаки используется психологическое давление срочности и двусмысленности, используются короткие, минималистичные сообщения, предназначенные для обхода спам-фильтров. Эта обманчивая тактика нацелена на то, что процесс принятия решений у получателей занимает доли секунды, что повышает вероятность того, что они ознакомятся с контентом без тщательного изучения.

При нажатии кнопки "Предварительный просмотр", связанной с поддельным счетом, у пользователей создается ложное ощущение безопасности, прежде чем они столкнутся с мошенническим приглашением для входа в систему, которое выглядит как подлинное. Дизайн тщательно разработан, чтобы походить на настоящие экраны входа в систему, что основано на доверии пользователей к Google как к надежной платформе. Как только жертвы вводят свои учетные данные, фишинговая страница захватывает эту конфиденциальную информацию и передает ее злоумышленникам с помощью PHP-скрипта. Впоследствии пользователи перенаправляются на подлинную страницу входа в систему Microsoft, что еще больше запутывает следы злоумышленников и уменьшает непосредственные подозрения.

Этот сложный метод демонстрирует, как злоумышленники используют надежные домены для повышения эффективности своих фишинговых схем. Поскольку основной целью является кража учетных данных, такие мошеннические действия могут привести к значительным утечкам данных и финансовым последствиям для скомпрометированных организаций. Следовательно, как для отдельных лиц, так и для организаций крайне важно сохранять бдительность в отношении этих развивающихся угроз и обучать сотрудников распознавать попытки фишинга.

#ParsedReport #CompletenessLow
01-06-2025

New Weapon of Choice - How Threat Actors Hijack Legitimate Remote Access Tools

https://cofense.com/blog/new-weapon-of-choice-how-threat-actors-hijack-legitimate-remote-access-tools

Report completeness: Low

Threats:
Screenconnect_tool
Atera_tool
Splashtop_tool
Fleetdeck_tool
Anydesk_tool
Teamviewer_tool
Remcos_rat
Logmein_tool
Gotoassist_tool
Gooxion
Pdq_connect_tool
N-able_tool

Victims:
Social security administration, Files.fm, Brazilian labor court, Agenzia per la cybersicurezza nazionale

Industry:
Financial, Transport, Government

Geo:
Italian, Chinese, German, Brazilian, French, Portuguese

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1219, T1566.001, T1566.002, T1583.001, T1584.001

IOCs:
Url: 2

Soft:
Microsoft OneDrive

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры все чаще используют законные средства удаленного доступа (RAT), такие как ConnectWise, Atera и FleetDeck, в злонамеренных целях, используя такие тактики, как фишинг и социальная инженерия, для установки этих средств на компьютеры жертв с целью дальнейших атак и кражи учетных данных. В 2024 году на ConnectWise RAT пришлось 56% сообщений об угрозах, а гибкий испытательный период Atera позволяет проводить более длительные кампании. Злоупотребление RATs свидетельствует о появлении новых хакеров и проблемах с защитой от кибербезопасности.
-----

хакеры часто используют законные средства удаленного доступа (RAT), злонамеренно внедряя их на ничего не подозревающих жертвах, что отличает эти средства от традиционных троянов удаленного доступа. Как только RAT устанавливается на компьютер жертвы, он может облегчить дальнейшую загрузку вредоносных программ или обеспечить мониторинг конфиденциальной информации, такой как учетные данные. В этом отчете подчеркивается растущее злоупотребление RATs, с акцентом на конкретные примеры, такие как ConnectWise RAT, Atera и FleetDeck, а также связанные с ними тактики, методы и процедуры (TTP).

ConnectWise RAT, известный легальный инструмент удаленного доступа, был признан наиболее часто используемым, на его долю пришлось 56% сообщений об активных угрозах (ATR) в 2024 году. Кампании, использующие этот RAT, включают в себя подделку электронных писем от Администрации социального обеспечения и files.fm часто нацелены на пользователей, связанных с финансами. ConnectWise обеспечивает простоту развертывания, включая 14-дневную бесплатную пробную версию, которой злоумышленники часто злоупотребляют. Инструмент может генерировать исполняемые файлы Windows, используемые для установки, а его связь по умолчанию осуществляется через порт 8041. Примечательно, что в его кампаниях часто используются электронные письма, созданные в социальных сетях, которые обманом заставляют пользователей загружать установщик ConnectWise RAT, замаскированный под законное приложение.

Atera - это еще один RAT, который сочетает в себе функции удаленного мониторинга и управления и интегрируется с такими популярными RAT, как Splashtop. Гибкая 30-дневная пробная версия программы дает хакерам время для проведения расширенных кампаний. Агенты Atera генерируют значительный сетевой трафик через различные конечные точки API, что потенциально позволяет осуществлять эффективную коммуникацию между командами и контролерами (C2). Отслеживание показывает, что этот инструмент использовался в кампаниях по подделке уведомлений бразильского суда по трудовым спорам и привел к серии вредоносных электронных писем, предназначенных для португалоязычных пользователей.

Реже FleetDeck представляет собой специализированное решение, которое завоевало популярность среди хакеров, особенно учитывая отсутствие последних обновлений и технического обслуживания с 2022 года. Инфраструктура FleetDeck известна тем, что облегчает коммуникации C2, и ее кампании часто включают фишинговые электронные письма о неоплаченных счетах, пытаясь убедить получателей в том, что для доступа к необходимым документам требуется инструмент, связанный с Adobe.

Другие RAT, такие как LogMeIn Resolve, Gooxion, PDQ Connect и другие, были определены в рамках отдельных кампаний, посвященных различным темам — от финансов до доставки — на нескольких языках. В совокупности эти наблюдения иллюстрируют многогранность и риск RATs в хакерской среде, поскольку угрозы постоянно развиваются, а злоумышленники переключаются между инструментами, основанными на доступности и предполагаемой легитимности, что усугубляет проблемы защиты кибербезопасности.

#ParsedReport #CompletenessLow
01-06-2025

Fake Course, Real Threat: Learning a Phishing Lesson the Hard Way

https://cofense.com/blog/fake-course-real-threat-learning-a-phishing-lesson-the-hard-way

Report completeness: Low

Victims:
Coursera users, Facebook users, Online learning platform users

ChatGPT TTPs:
do not use without manual check
T1114, T1192, T1204.001, T1566.001, T1589.002

IOCs:
Url: 2
IP: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на пользователей платформ онлайн-обучения, таких как Coursera, путем подделки электронных писем с приглашениями, перенаправления пользователей на поддельную страницу входа в систему. Этот метод использует логины в социальных сетях для кражи учетных данных и отправки их на сервер управления.
-----

Недавняя фишинговая кампания, выявленная Центром защиты от фишинга Cofense (PDC), использует популярность платформ онлайн-обучения, в частности, для пользователей таких сервисов, как Coursera. Этот сложный подход использует привлекательность онлайн-курсов, чтобы обманом заставить жертв предоставить свои учетные данные. Изначально фишинговая программа пытается подделать законную платформу Coursera, рассылая приглашения пользователям, что делает ее надежным источником. Однако вместо того, чтобы направлять пользователей на реальный веб-сайт, она перенаправляет их на поддельную страницу входа в систему под видом входа через Facebook.

Когда пользователи нажимают кнопку "Зарегистрироваться", им предлагается воспользоваться знакомым интерфейсом, который предлагает им войти в Coursera, используя свои учетные записи Facebook, используя удобство входа в социальные сети в качестве тактики для повышения вероятности фишинга учетных данных. Если жертвы продолжают, им открывается поддельная страница входа в Facebook, на которой запрашивается номер их мобильного телефона или адрес электронной почты вместе с паролем. Этот метод не только имитирует подлинный процесс входа в систему, но и перенаправляет украденные учетные данные на сервер управления (C2) хакера.

В рамках этой кампании хакеры демонстрируют использование мультиплатформенного спуфинга и использование интереса пользователей к возможностям бесплатного обучения, сочетая социальную инженерию с техническими манипуляциями для кражи учетных данных. По мере развития хакеров такие стратегии фишинга, вероятно, будут распространяться все шире, что подчеркивает важность бдительности пользователей. Рекомендации для пользователей включают проверку подозрительных электронных писем, включение двухфакторной аутентификации (2FA), где это возможно, и сообщение о любых сомнительных сообщениях в ИТ-отделы.

#ParsedReport #CompletenessLow
02-06-2025

Glitch-hosted Phishing Uses Telegram & Fake CAPTCHAs to Target Navy Federal Credit Union Customers

https://www.netskope.com/blog/glitch-hosted-phishing-uses-telegram-fake-captchas-to-target-navy-federal-credit-union-customers

Report completeness: Low

Threats:
Fakecaptcha_technique
Glitch

Victims:
Navy federal credit union members, T-mobile accounts, Companies email users, Credit card holders, Other banks customers

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1016, T1036, T1071.001, T1111, T1140, T1204, T1566.002, T1567.002

IOCs:
Url: 200

Soft:
Telegram, Node.js, AWS Amplify

Algorithms:
exhibit

Win API:
sendMessage

Languages:
javascript

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Phishing/Glitch

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Участились фишинговые кампании с использованием платформы Glitch, в первую очередь нацеленные на членов Федерального кредитного союза Navy, которые используют ее возможности для быстрого развертывания фишинговых страниц. Злоумышленники крадут конфиденциальные данные через Telegram и используют поддельные капчи, чтобы избежать обнаружения.
-----

Лаборатория Netskope Threat Labs выявила значительное увеличение числа фишинговых атак с использованием платформы Glitch в период с января по апрель 2025 года. Кампании были нацелены в первую очередь на членов Федерального кредитного союза Navy, затронув более 830 организаций и более 3000 пользователей. Злоумышленники стремятся украсть конфиденциальную информацию, такую как учетные данные для входа в систему электронной почты и банковских услуг, а также данные кредитной карты. Примечательным аспектом этих фишинговых операций является использование Telegram для сбора данных, включая одноразовые пароли (OTP), что позволяет им обходить многофакторную аутентификацию (MFA).

Платформа для размещения веб-приложений Glitch позволяет пользователям создавать и развертывать приложения непосредственно из браузеров. Злоумышленники используют возможности Glitch для бесплатного размещения фишинговых страниц, используя такие функциональные возможности, как функция "Remix", для быстрого создания уникальных поддоменов. Такая гибкость позволяет им в течение нескольких минут предпринимать многочисленные попытки фишинга, нацеливаясь не только на Федеральный кредитный союз ВМС, но и на аккаунты T-Mobile и различные компании для получения конфиденциальной информации о электронной почте и кредитных картах.

Методология фишинга включает в себя ввод страницы для входа в систему, на которой жертвы вводят свои имена пользователей и пароли. Злоумышленники собирают дополнительные данные, такие как общедоступные IP-адреса и информацию о геолокации, с помощью JavaScript, которые отправляются им через Telegram. После получения учетных данных злоумышленники запрашивают у жертвы OTP-сообщение, отправленное на ее телефон. После ввода эта информация передается через Telegram, что предоставляет злоумышленникам несанкционированный доступ к учетным записям жертвы.

Кроме того, многие фишинговые кампании теперь включают в себя вводящие в заблуждение элементы, такие как поддельные капчи, чтобы предотвратить обнаружение статическими веб-сканерами. Поддельная капча предназначена для того, чтобы ввести жертв в заблуждение, заставив их думать, что они должны пройти проверку. Этот скрипт заменяет флажок на счетчик, который при нажатии перенаправляет жертвы непосредственно на фишинговую полезную информацию. Распространенность поддельных капч в фишинговых атаках указывает на то, что киберпреступники используют новую тактику сокрытия своих операций.

#ParsedReport #CompletenessMedium
02-06-2025

VIPERSOFTX is attacked by cryptocurrency users

https://asec.ahnlab.com/ko/88265/

Report completeness: Medium

Threats:
Vipersoftx
Quasar_rat
Tesseract_stealer
Purecryptor
Purehvnc_tool
Clipbanker

Victims:
Cryptocurrency users

Geo:
Korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1043, T1053.005, T1056.001, T1059.001, T1105, T1113, T1204.002, have more...

IOCs:
Hash: 5
Url: 5
IP: 5

Soft:
task scheduler, Chrome, Opera, Opera GX, Firefox, Vivaldi, Chrome Canary

Algorithms:
md5, base64, aes

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники VIPERSOFTX распространяют вредоносное ПО для кражи криптовалют, используя скрипты PowerShell для установки дополнительных полезных программ, таких как Quasar RAT и TesserActStealers. Их тактика заключается в маскировке вредоносного ПО под законное программное обеспечение, манипулировании данными из буфера обмена для перенаправления средств и использовании различных методов удаленного доступа и утечки данных.
-----

Злоумышленники VIPERSOFTX распространяют вредоносное ПО, предназначенное для кражи криптовалюты. Вредоносное ПО VIPERSOFTX позволяет выполнять команды и извлекать информацию о криптовалюте. Похитители TesserActStealers используют Quasar RAT для удаленного доступа и извлечения данных с помощью распознавания текста с открытым исходным кодом. Злоумышленники устанавливают скрипты PowerShell на взломанные системы для загрузки дополнительной полезной информации. Эти скрипты выполняют различные вредоносные функции и устанавливают Quasar RAT, который обычно используется для доступа к криптовалютным кошелькам. VIPERSOFTX маскирует вредоносное ПО под взломы или кейгены, чтобы воспользоваться доверием пользователей. К методам распространения относятся торрент-сайты и вредоносные электронные письма. Взломанные системы устанавливают запланированные задачи для выполнения вредоносных скриптов PowerShell. Скрипты часто расшифровывают и выполняют закодированные команды для дальнейших действий. Загрузчики используют DNS-запросы для получения конфигураций сервера управления (C&C). Вредоносная программа защищает содержимое буфера обмена, перехватывая адреса криптовалютных кошельков и изменяя их для перенаправления средств. VIPERSOFTX использует Quasar RAT для регистрации ключей и поиска информации об учетной записи. PureCryPter используется для доставки полезной информации и уклонения от нее; Purehvnc используется для контроля зараженных систем. VIPERSOFTX использует для пользователей криптовалют сложные вредоносные программы для кражи данных.

#ParsedReport #CompletenessLow
02-06-2025

Victims risk AsyncRAT infection after being redirected to fake Booking.com sites

https://www.malwarebytes.com/blog/news/2025/06/victims-risk-asyncrat-infection-after-being-redirected-to-fake-booking-sites

Report completeness: Low

Threats:
Asyncrat
Fakecaptcha_technique

Victims:
Individuals, Travelers, Online users

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1056.001, T1059.001, T1071.001, T1105, T1204.001, T1216.001, T1219, T1566.002

IOCs:
Command: 2
File: 4
Domain: 14

Soft:
Chrome

Functions:
JavaScript

Languages:
javascript, powershell